CVE-2021-35394 er en kritisk, fjernkørsel af programkode sikkerhedssårbarhed, der påvirker Realtek Jungle SDK.
Bedømt 9.8 på CVSS 3.x Alvorligheds- og Metric-skalaen, sårbarheden er blevet bevæbnet af angribere i igangværende ondsindede kampagner, som blev indledt i august 2022. Ifølge Palo Altos enhed 42 forskere, i det mindste 134 millioner udnyttelsesforsøg er blevet registreret indtil december sidste år.
Holdet "opdagede det mellem august og oktober 2022, antallet af angreb, der forsøger at udnytte en sårbarhed for fjernudførelse af Realtek Jungle SDK-kode (CVE-2021-35394) udgjorde mere end 40% af det samlede antal angreb."
"Fra december 2022, vi har observeret 134 millioner udnyttelsesforsøg i alt at udnytte denne sårbarhed, og om 97% af disse angreb fandt sted efter begyndelsen af august 2022. På tidspunktet for skrivning, angrebet er stadig i gang,”Tilføjede rapporten.
CVE-2021-35394: Hvad der er kendt So Far
Ifølge den officielle beskrivelse leveret af National Vulnerability Database, skyld i fejlen er et værktøj kaldet MP Daemon:
Realtek Jungle SDK version v2.x op til v3.4.14B indeholder et diagnostisk værktøj kaldet 'MP Daemon’ som normalt er kompileret som 'UDPServer’ binær. Binæren er påvirket af flere hukommelseskorruptionssårbarheder og en vilkårlig kommandoindsprøjtningssårbarhed, der kan udnyttes af eksterne uautoriserede angribere.
Det er bemærkelsesværdigt, at CVE-2021-35394 påvirker 190 modeller af enheder fra 66 producenter. Hvad angår den høje succesrate for angrebene, forskerne mener, at fejlen er blevet bevæbnet af så mange trusselsaktører, "fordi forsyningskædeproblemer kan gøre det vanskeligt for den gennemsnitlige bruger at identificere de berørte produkter, der bliver udnyttet."
Angreb mod CVE-2021-35394 Lever Malware
I de fleste angreb, observerede forskerne malware leveringsforsøg mod sårbare IoT-enheder. Med andre ord, angribere bruger fejlen til at udføre store angreb. Fordi IoT-enheder og -routere ofte er udelukket fra organisationers sikkerhedsrutiner, mange enheder og virksomheder kan være i fare, Enhed 42 advaret.
Analysen afslører, at malware-prøverne fra angrebsforsøgene kommer fra populære malware-familier, inklusive Mirai, Gafgyt og Mozi, samt en ny DDoS botnet skrevet i Golang kaldet RedGoBot.
"Hvis du bekræfter, at en enhed er blevet påvirket af den malware, der henvises til i dette indlæg, det er nødvendigt at anvende en fabriksnulstilling på enheden og geninstallere den seneste version af dens software," rapporten indgået.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: